So konfigurieren Sie eine starke Passwortrichtlinie in Debian

Das Festlegen eines guten Zugangspassworts auf unseren Computern und Servern ist unerlässlich. Heute betreten wir unsere Computer weiterhin bei vielen Gelegenheiten mit einem Benutzernamen und einem Passwort, obwohl es bereits die Möglichkeit gibt, die zweistufige Authentifizierung zu konfigurieren, um der Authentifizierung eine weitere Sicherheitsebene hinzuzufügen. Die Konfiguration eines starken Passworts auf unseren Computern ist grundlegend, aber es ist möglich, dass viele Benutzer die Richtlinien eines sicheren Passworts nicht einhalten. Aus diesem Grund ist es sehr wichtig, eine gute Passwortrichtlinie zu konfigurieren, um alle Benutzer zur Einhaltung zu zwingen. Heute zeigen wir Ihnen in diesem Artikel, wie Sie es in jedem konfigurieren können Linux Betriebssystem werden wir Debian verwenden, aber in Systemen wie Ubuntu der prozess ist der gleiche.

Was ist der Zweck der Konfiguration einer Kennwortrichtlinie?

Konfigurieren Sie eine starke Passwortrichtlinie in Debian

Bei der Installation des Betriebssystems forderte uns der Installationsassistent auf, einen Benutzernamen sowie ein Zugangspasswort einzugeben, um uns im Betriebssystem zu authentifizieren. Wenn wir uns entschieden haben, ein Root-Passwort zu erstellen, mussten wir zwei verschiedene Passwörter eingeben (obwohl sie gleich sein könnten, aber aus Sicherheitsgründen wird empfohlen, dass sie unterschiedlich sind). Im Installationsassistenten haben wir jedoch keine Passwortrichtlinie vorkonfiguriert, sodass wir ein einfaches Passwort wie „key“ oder „123456“ neben anderen nicht sicheren Passwörtern platzieren können. Root-Benutzer und diejenigen, die der Gruppe Administratoren angehören, sowie normale Benutzer ohne Berechtigungen sollten über starke Passwörter verfügen, um die Sicherheit des Betriebssystems zu schützen.

Wenn wir alle PC- oder Serverbenutzer zwingen wollen, starke Passwörter zu verwenden, ist es unbedingt erforderlich, dass der Systemadministrator eine robuste Passwortrichtlinie erstellt, um zu verhindern, dass Benutzer Passwörter verwenden, die so leicht zu knacken oder zu erraten sind. Wir könnten auch verschiedene Benutzer zwingen, ein neues Passwort zu erstellen, das den neuen Schlüsselanforderungen des Betriebssystems entspricht, außerdem könnten wir auch alle Benutzer oder nur einige zwingen, dass ihr Passwort von Zeit zu Zeit abläuft und ein neues eingeben muss Passwort, wenn Sie nicht ohne Zugriff auf das Betriebssystem bleiben möchten.

Um eine gute Passwortrichtlinie zu haben, ist es sehr wichtig, Folgendes zu berücksichtigen:

  • Erstellen Sie sichere Passwörter, die nicht in Wörterbüchern enthalten sind und eine gewisse Komplexität aufweisen.
  • Zwingen Sie Benutzer, ihre Kennwörter zu ändern, um der neuen Richtlinie für Zugriffskennwörter zu entsprechen.
  • Konfigurieren Sie den Kennwortablauf, um Benutzer zu zwingen, ihre Kennwörter von Zeit zu Zeit zu ändern.

Als Nächstes werden wir sehen, wie Sie mit Debian oder Ubuntu eine gute Passwortrichtlinie auf unserem Server oder PC konfigurieren.

Konfigurieren Sie eine Richtlinie für starke Passwörter

Das erste, was wir berücksichtigen müssen, um eine robuste Passwortrichtlinie zu konfigurieren, ist, Administratoren zu sein. Wir müssen über Root-Rechte verfügen, um alle Änderungen vornehmen zu können, da sie alle Benutzer des Betriebssystems betreffen. Sobald wir über Administratorberechtigungen verfügen, können wir mit den verschiedenen Schritten beginnen, um die Passwortrichtlinie korrekt zu konfigurieren.

Installieren Sie das libpam_cracklib-Tool

Das erste, was wir tun werden, ist die Bibliothek libpam_cracklib zu installieren. Diese Bibliothek ist dafür verantwortlich, zu überprüfen, ob das Passwort, das Sie eingeben werden, nicht Teil eines Wörterbuchs ist, dh dass es kein einfaches Wort ist. Es wird auch überprüft, ob das Passwort nicht mit einem anderen übereinstimmt, das Sie zuvor verwendet haben, d. h., wir können die bereits verwendeten Passwörter nicht wiederverwenden. Es wird uns auch nicht erlauben, Passwörter wiederzuverwenden, die nur ein Zeichen geändert haben. Stellen wir uns vor, das neue Passwort ist „Pepe123.“ Da das neue Passwort nicht „Pepe123-“ sein kann, weil wir nur ein Zeichen geändert haben. Weitere Merkmale dieser Bibliothek sind, dass sie überprüft, ob das neue Passwort zu kurz ist, ob es nicht sehr komplex ist, und uns sogar ermöglicht zu erkennen, ob nicht ein einziges Zeichen mehrmals hintereinander eingegeben wurde, um das Passwort zu erstellen komplexer.

Wir müssen bedenken, dass die Festlegung eines starken Passworts sehr wichtig ist, da dies die erste Verteidigungslinie für die Sicherheit unseres Betriebssystems ist. Um diese Bibliothek zu installieren, müssen wir lediglich den folgenden Befehl ausführen:

sudo apt install libpam-cracklib

Wenn Sie in Ihrem Betriebssystem „sudo“ verwenden, müssen Sie diesen Befehl vor den Installationsbefehl setzen, andernfalls müssen Sie ihn im Root-Modus nicht verwenden. Bevor wir fortfahren, müssen wir darauf hinweisen, dass die Installation dieser Bibliothek sehr wichtig ist, da wir dank ihr die Passwortrichtlinie nach unseren Wünschen konfigurieren können.

Bearbeiten Sie die Konfigurationsdatei

Sobald wir die Bibliothek installiert haben, bearbeiten wir jetzt die Datei, die sich in /etc/pam.d/common-password befindet. Bevor Sie diese jedoch direkt bearbeiten, empfehlen wir Ihnen, für den Fall, dass wir eine falsche Konfiguration vorgenommen haben, eine Sicherungskopie dieser Konfigurationsdatei zu erstellen, um einfach und schnell auf die Werkseinstellungen zurücksetzen zu können.

Um eine Sicherungskopie dieser Datei zu erstellen, führen Sie einfach den folgenden Befehl aus und geben Sie den gewünschten Pfad ein:

sudo cp /etc/pam.d/common-password /root/

Sobald dies erledigt ist, öffnen wir die Datei mit Superuser-Berechtigungen, um sie bearbeiten zu können. Wir können vi, vim, nano oder einen anderen Textdatei-Editor über die Konsole verwenden, wir verwenden nano. Sie können auch einen grafischen Texteditor verwenden, jedoch immer mit Root-Rechten, da Sie ihn sonst nicht bearbeiten können.

sudo nano /etc/pam.d/common-password

Nun sehen wir die komplette Konfigurationsdatei des Betriebssystems:

Sobald wir uns im Editor befinden, müssen wir eine Zeile ähnlich der folgenden finden:

password requisite pam_cracklib.so retry=3 minlen=8 difok=3

Im folgenden Bild können Sie sehen, wo es erscheint:

Hier müssen wir es bearbeiten, und wir haben die folgenden Optionen, um es nach unseren Wünschen zu konfigurieren.

  • retry: Anzahl der Versuche, bevor das System einen Authentifizierungsfehler zurückgibt und uns ausschließt.
  • minlen: ist die Mindestlänge des Passworts, standardmäßig sind es 8 Zeichen.
  • difok: Anzahl unterschiedlicher Zeichen, die der neue Schlüssel im Vergleich zum alten haben muss.
  • ucredit: Großbuchstaben, die mindestens oder maximal sein müssen.
  • lcredit: Kleinbuchstaben, die mindestens oder maximal sein müssen.
  • dcredit: die Anzahl der Ziffern, die es mindestens oder maximal haben muss.
  • ocredit: die minimale oder maximale Anzahl anderer Zeichen (Symbole), die der Schlüssel haben muss.

Die Optionen ucredit, lcredit, dcredit und ocredit können negative oder positive Zahlen haben, um zu definieren, ob wir einen minimalen oder maximalen Bereich haben möchten, zum Beispiel:

  • lcredit = -2: bedeutet, dass es mindestens 2 Kleinbuchstaben enthalten muss.
  • lcredit = + 2: bedeutet, dass es maximal 2 Kleinbuchstaben enthalten darf.

Ebenso verhält es sich mit den restlichen Optionen lcredit, dcredit und ocredit.

Konfigurieren Sie die anzuwendende Schlüsselrichtlinie

Sobald wir alle uns zur Verfügung stehenden Konfigurationsoptionen kennen, werden wir die zu konfigurierende Schlüsselrichtlinie auswählen. Ein Beispiel für eine Schlüsselrichtlinie könnte die folgende sein:

password requisite pam_cracklib.so retry=3 minlen=12 difok=3 ucredit=-3 lcredit=-3 dcredit=-3 ocredit=-3

Mit der vorherigen Richtlinie haben wir:

  • Mindestlänge des Passworts 12 Zeichen.
  • Wenn wir das Passwort ändern, muss es mindestens drei Unterschiede geben.
  • Mindestens 3 Großbuchstaben, 3 Kleinbuchstaben, 3 Ziffern und 3 Symbole

Wir haben kein Zeichen als Maximum festgelegt, könnten es aber auch integrieren, um die Anzahl der zulässigen Zeichen desselben Typs zu begrenzen. Wir glauben jedoch, dass der Schlüssel mit dieser Schlüsselrichtlinie komplex genug ist, um Probleme zu vermeiden.

Überprüfen Sie die neue Schlüsselrichtlinie

Sobald wir es konfiguriert haben, werden wir das Passwort unseres eigenen Benutzers ändern, damit es perfekt zu der neuen Passwortrichtlinie passt, die wir konfiguriert haben. Um das Passwort zu ändern, müssen wir die folgende Reihenfolge ausführen:

sudo passwd

Wir werden einen Assistenten haben, bei dem wir das neue Passwort angeben müssen, damit es perfekt zur vorherigen Richtlinie passt. Abhängig vom eingegebenen Passwort können wir einen anderen Fehler sehen, zum Beispiel, dass der Schlüssel zu einfach ist, es sich um ein Wörterbuchwort handelt, er zu kurz ist usw. Sobald das neue Passwort, das wir eingegeben haben der Richtlinie entspricht, können wir sie problemlos ändern.

Zwingen Sie andere Benutzer, ihr Passwort zu ändern

Debian gibt uns die Möglichkeit, die Passwortänderung für die nächste Benutzeranmeldung zu erzwingen. Auf diese Weise können sie die neue Passwortrichtlinie, die sie einhalten müssen, nicht umgehen. Um Benutzer zur Eingabe eines neuen Zugangspassworts zu zwingen, muss der Administratorbenutzer den folgenden Befehl ausführen:

passwd -e USUARIO

Das Argument „-e“ erzwingt einen Ablauf des Kennworts des Benutzers, und bei der nächsten Anmeldung müssen Sie ein neues Kennwort eingeben, das den neuen Kennwortanforderungen des Betriebssystems entspricht.

Kennwortablauf für Benutzer konfigurieren

Wenn wir den Ablauf von Passwörtern für Benutzer konfigurieren möchten, können wir diese Konfiguration auch mit dem Befehl passwd für jeden einzelnen der Systembenutzer oder einzeln vornehmen. Um einen Passwortablauf zu definieren und Benutzer zu zwingen, ihn vor Ablauf der Laufzeit zu ändern, müssen wir den folgenden Befehl ausführen:

passwd -w 5 -x 30 USUARIO

Das Argument „-x“ bedeutet, dass Benutzer ihr Passwort höchstens alle 30 Tage ändern müssen. Das Argument „-w“ bedeutet, dass es uns 5 Tage vor Ablauf des Passworts warnt, es zu ändern, auf diese Weise erinnern wir den Benutzer daran, dass er das Zugangspasswort ändern muss.

Es wird auch dringend empfohlen, die Inaktivität des Kontos zu konfigurieren, wenn der Benutzer das Passwort nach Ablauf des Schlüssels nicht ändert, dass es als inaktiv gesetzt wird und der Systemadministrator es erneut aktivieren muss. Angenommen, wir möchten ein Konto als inaktiv markieren, wenn seit dem Ablauf des Schlüssels ein Tag vergangen ist, in diesem Fall wäre die Konfiguration:

passwd -w 5 -x 30 -i 1 USUARIO

Der Befehl passwd ermöglicht es uns, verschiedene Argumente in die gleiche Reihenfolge zu bringen. Wir empfehlen Ihnen, die Manpages dieses Tools zu lesen, auf denen Sie alle verfügbaren Konfigurationsoptionen finden.

Wie Sie gesehen haben, ist die Konfiguration einer guten Passwortrichtlinie auf unserem Server mit Debian oder Ubuntu wirklich einfach, wir müssen lediglich die Bibliothek installieren und einige Anpassungen vornehmen ) um ein neues Zugangspasswort zu erstellen.